حملات فیشینگ (آپدیت ۲۰۲۴)

منظور از حملات phishing چیست؟

حمله‌ی فیشینگ (phishing) نوعی تهدید سایبری است که کاربران را از طریق ایمیل یا پیامک هدف قرار داده و با مهندسی اجتماعی آن‌‌ها را فریب می‌دهد تا اطلاعات مهم را فاش کنند. اساسا حملات فیشینگ با این ایده طراحی شده‌اند که افراد زیادی از طریق فضای اینترنت، به تجارت مشغول می‌باشند.

همین امر باعث شده فیشینگ به یکی از رایج‌ترین تهدیدات امنیت سایبری تبدیل گردد و با تهدیداتی مانند distributed denial-of-service (DDoS) و data breach و بسیاری از بدافزارهای مختلف به رقابت بپردازد.

انواع حملات فیشینگ (phishing)

1. Spear phishing (فیشینگ نیزه‌ای)

این نوع حمله‌ی فیشینگ، یک فرد خاص را در سازمان‌، هدف قرار داده و به دنبال سرقت اطلاعات لاگین، وی می‌باشد. غالبا قبل از هر اقدامی، اطلاعات مورد نیاز در مورد شخص مربوطه، از جمله نام، سِمت او و اطلاعات تماس را جمع‌آوری می‌کند.

مثالی واقعی از spear phishing

یک گروه هکری با هدف یکی از کارمندان NTL World، بخشی از شرکت Virgin Media دست به spear phishing زد. طبق ادعای مهاجم، قربانی باید در employee handbook جدید عضو می‌شد. بنابراین با طراحی مربوطه، قربانی را به کلیک بر روی لینک مورد نظر، سوق داد و به اطلاعات شخصی وی دست یافت.

2. Vishing (ویشینگ)

Vishing کوتاه‌شده‌ی Voice Phishing بوده و به فیشینگی اشاره دارد که از تلفن برای سرقت اطلاعات، استفاده می‌شود. در این حمله، مهاجم وانمود می‌کند فردی مورد اعتماد یا از طرف فردی قابل اعتماد است.

مثالی واقعی از vishing

یک کمپین vishing در سال ۲۰۱۹ اعضا پارلمان بریتانیا و کارمندان آن‌ها را هدف قرار داد. این حمله بخشی از یک حمله‌ی بزرگ‌تر بود که شامل حداقل ۲۱ میلیون ایمیل اسپم با هدف قانون‌گذاران بریتانیا، رخ داد.

3. Email phishing (فیشینگ مبتنی بر ایمیل)

مهاجم سایبری طی این حمله، اقدام به ارسال ایمیلی با ظاهر قانونی و معتبر به قربانی نموده و وی را به وارد کردن اطلاعات شخصی خود در پاسخ یا در یک سایت دیگر سوق می‌دهد.

مثالی واقعی از فیشینگ مبتنی بر ایمیل

هکرها از طریق پلتفرم LinkedIn، به اطلاعات تماسِ کارمندانِ Sony دست پیدا کرده و اقدام به ارسال ایمیل به آن‌ها نمودند. آن‌ها موفق شدند از این طریق به بیش از ۱۰۰ ترابایت اطلاعات از سونی دست پیدا کنند.

4. HTTPS phishing

حمله‌ی HTTPS phishing شامل ارسال یک ایمیل به همراه لینکی به وب‌سایت جعلی است. سپس از همین سایت برای فریب دادن قربانی به وارد کردن اطلاعات شخصی خود، استفاده می‌شود.

مثالی واقعی از HTTPS phishing

گروه هکریِ Scarlet Widow ابتدا به جستجوی ایمیل‌های یک سازمان پرداخته و سپس آن‌ها را با HTTPS phishing، هدف قرار داد.

در این حمله کاربران، ایمیلی دریافت نمودند که قسمت عمده‌ی آن، خالی و تنها حاوی یک لینک بود. کاربران با کلیک بر روی آن، به وب Scarlet Widow وارد می‌شدند.

5. Pharming(فارمینگ)

در حمله‌ی pharming، کدهای مخربی بر روی سیستم قربانی، نصب شده که این کدها، قربانی را به یک وب‌سایت جعلی هدایت می‌نماید. این حمله اساسا برای جمع‌آوری اطلاعات لاگین، طراحی شده است.

مثالی واقعی از حمله pharming

در سال ۲۰۰۷ یک حمله‌ی پیچیده‌ی pharming توانست حداقل ۵۰ موسسه مالی در سراسر جهان را هدف قرار دهد. کاربران به وب‌سایت‌های جعلی هدایت شده و اطلاعات مهم خود را فاش کردند.

6. Pop-up phishing

این حمله غالبا از یک pop-up در خصوص یک مشکل امنیتی یا مشکلات دیگر استفاده نموده تا قربانی را وادار به کلیک کند. سپس از قربانی درخواست می‌کند فایلی (بدافزار) را دانلود نموده و یا با مرکز پشتیبانی، تماس گیرد.

مثالی واقعی از pop-up phishing

گاهی اوقات کاربران، پیشنهادات جعلی در قالب pop-upهایی، با موضوع واجد شرایط بودن تمدید AppleCare دریافت می‌کنند که ظاهرا محافظت گسترده‌ای از دستگاه‌های اپل را شامل می‌شود.

7. Evil twin phishing

گروه‌های هکری طی این حمله، یک شبکه Wi-Fi کاذب، راه‌اندازی نموده که به نظر واقعی می‌رسد. چنانچه فردی به این شبکه، لاگین شده و اطلاعات خود را وارد کند، این اطلاعات توسط هکرها، ضبط خواهد شد.

مثالی واقعی از Evil twin phishing

یک آژانس نظامی روسیه تحت عنوان GRU متهم به اجرای حملات Evil twin phishing  با استفاده از اکسس‌پوینت‌های جعلی شد. ظاهر امر نشان می‌داد این اکسس‌پوینت‌ها، کاربران را به شبکه‌های واقعی متصل می‌کنند؛ اما در واقع آن‌ها را به سایت‌هایی هدایت می‌کردند که بتوانند به اطلاعات لاگین آن‌ها دست یافته و یا بدافزاری را بر روی سیستم آن‌ها، دانلود کنند.

8. Watering hole phishing

در این حمله، مهاجمان سایبری به شناسایی وب‌سایتی می‌پردازند که گروه‌ خاصی از کاربران به صورت مرتب از آن بازدید می‌کنند. سپس مهاجمان سایبری، این وب‌سایت را به بدافزار آلوده ساخته تا سیستم کاربران مورد نظر نیز به آن بدافزار، آلوده گردد و بتوانند به شبکه‌ی آن‌ها دسترسی پیدا کنند.

مثالی واقعی از watering hole phishing

در سال ۲۰۱۲ شورای روابط خارجه ایالات متحده (Council on Foreign Relations) هدف حمله‌ی watering hole phishing قرار گرفت. هدف از این حمله، دسترسی به اطلاعات لاگین کاربران این شورا بود. البته که این حمله با کمک آسیب پذیری در Internet Explorer، به موفقیت‌هایی دست یافت.

9. Whaling (فیشینگ نهنگ)

با هدف مدیران ارشد صورت می‌گیرد. غالبا این افراد به مهم‌ترین اطلاعات سازمان، دسترسی دارند؛ بنابراین یک حمله‌ی موفقیت‌آمیز whaling می‌تواند برای گروه‌های هکری، یک موفقیت بزرگ باشد.

مثالی واقعی از حمله‌ی whaling

بنیان‌گذار Levitas، صندوق سرمایه‌گذاری استرالیایی، توسط یک حمله‌ی whaling هدف قرار گرفت. مهاجم یک لینک جعلی برای این شرکت ارسال نمود که با کلیک بر روی آن، بدافزاری بر روی سیستم‌های آن‌ها، نصب شده و ۸۰۰.۰۰۰ دلار از این شرکت به سرقت برد.

10. Clone phishing (فیشینگ شبیه‌سازی‌شده)

مهاجم سایبری یک کپی دقیق از یک ایمیل واقعی که گیرنده، قبلا آن را دریافت نموده، ایجاد می‌کند. ممکن است به منظور واقعی‌تر جلوه دادن این پیام، متنی به آن اضافه شود که نشان دهد این ایمیل، نسخه‌ی تکراری و یا به‌روزشده‌ی ایمیل قبلی است.

مثالی واقعی از clone phishing

هکری اطلاعات ایمیل قبلی را کپی کرده و از همان نام و عنوان که قبلا، برای معامله به قربانی پیام داده بود، استفاده کرد. این هکر وانمود کرد مدیرعاملی با نام  Giles Garciaاست و در متن پیام، به ایمیل قبلی اشاره کرد. سپس وانمود کرد به ادامه مکالمه قبلی می‌پردازد.

11. Deceptive phishing

مهاجمان سایبری با تظاهر به اینکه از یک سازمان واقعی هستند، مردم را فریب داده و به آن‌ها هشدار می‌دهند در حال حاضر با یک حمله سایبری، مواجه شده‌اند. در این مرحله، قربانیان تشویق می‌شوند بر روی لینک مخرب ارسالی، کلیک کنند.

مثالی واقعی از deceptive phishing

به گروهی از کاربران، ایمیلی از سوی support@apple.com و با عنوان پشتیبانی اپل، ارسال شد. این پیام حاوی متنی مبنی بر مسدود شدن Apple ID قربانی بود. سپس از قربانیان خواسته شد با وارد کردن اطلاعاتی که هکر برای crack کردن به آن‌ها نیاز دارد، اکانت خود را تایید کنند.

12. Social engineering

حملات مهندسی اجتماعی از طریق psychological manipulation انجام می‌‌شود و به نوعی تاثیر اجتماعی اشاره دارد که هدف آن تغییر رفتار یا ادراک دیگران از طریق تاکتیک‌های غیرمستقیم می‌باشد. از این طریق، افراد را تحت تاثیر قرار داده تا اطلاعات مهم و محرمانه‌ی خود را فاش کنند.

مثالی واقعی از حمله‌ی social engineering

هکری با وانمود کردن این‌که نماینده‌ی Chase Bank است به قربانی گفت مشکلی در کارت ATM وی وجود دارد. این مهاجم سایبری در تلاش بود قربانی را با ایجاد نگرانی در مورد از دست دادن دسترسی به مبلغ موجود در حساب خود، تحت فشار قرار دهد تا اطلاعات شخصی را فاش کند.

13. Angler phishing

مهاجمان سایبری از پست‌های جعلی در رسانه‌های اجتماعی استفاده کرده تا افراد مختلف را تشویق به وارد کردن اطلاعات لاگین و یا دانلود بدافزار کنند.

مثالی واقعی از Angler phishing

هکرها در توییتر وانمود کردند نماینده‌ی پیتزا Domino هستند و به نگرانی‌های و نظرات مشتریان، پاسخ می‌دادند. آن‌ها پس از برقراری ارتباط با مشتریان و نشان دادن تلاش خود در جهت کسب رضایت آن‌ها، به اطلاعات شخصی دست پیدا کردند.

14. Smishing

نوعی فیشینگ است که از طریق پیام متنی یا SMS رخ می‌دهد.

مثالی واقعی از smishing

گروهی از هکرها که وانمود کردند از American Express هستند، برای قربانیان مورد نظر خود پیام‌هایی حاوی درخواست رسیدگی فوری به اکانت‌های‌شان را ارسال کردند. پس از کلیک بر روی لینک، آن‌ها به سایت جعلی منتقل شده و اطلاعات شخصی خود را فاش کردند.

15. Man-in-the-middle (MiTM) attacks

مهاجمان سایبری طی این حمله که به آن حمله مرد میانی نیز گفته می‌شود، بین دو طرف یک ارتباط، قرار گرفته و در تلاش هستند تا به اطلاعات مبادله‌شده از جمله اطلاعات لاگین دست یابند.

مثالی واقعی از حمله MiTM

در سال ۲۰۱۷ شرکت Equifax به عنوان یک شرکت محبوب اعتبارسنجی برای بررسی سابقه بانکی و اعتباری هدف حملات MiTM قرار گرفت. مهاجمان سایبری افرادی را هدف قرار دادند که از Equifax بدون استفاده از HTTPS استفاده می‌کردند. زمانی که کاربران وارد اکانت‌های خود می‌شدند، هکرها اطلاعات ورود به سیستم آن‌ها را ثبت می‌کردند.

16. Website spoofing

هکرها در این حمله، یک وب‌سایت جعلی ایجاد نموده که قانونی به نظر می‌رسد. زمانی که کاربر از این وب‌سایت برای وارد شدن به اکانت خود استفاده می‌کند، اطلاعات توسط هکر، جمع‌آوری می‌گردد.

مثالی واقعی از website spoofing

گروهی از هکرها، وب‌سایت جعلی آمازون را ایجاد کردند که تقریبا شبیه به Amazon.com بود، اما با یک URL متفاوت.

سایر جزییات از جمله فونت، تصاویر و غیره نیز شبیه به سایت واقعی بود.

17. Domain spoofing

Domain spoofing که به آن DNS spoofing نیز گفته می‌شود، زمانی رخ می‌دهد که یک هکر از دامنه‌ی یک شرکت؛ چه با استفاده از ایمیل و چه با استفاده از وب‌سایت جعلی، افراد را فریب داده تا اطلاعات خود را وارد کنند. برای جلوگیری از domain spoofing باید منابع لینک و ایمیل را به دقت بررسی نمود.

مثالی واقعی از domain spoofing

به عنوان مثال یک مهاجم سایبری با ایجاد دامنه‌ی تقلبی شبیه به سایت LinkedIn، حمله‌ی مذکور را به اجرا می‌رساند. اطلاعاتی که کاربران به هنگام مراجعه به سایت، وارد می‌کنند، مستقیما برای هکرها ارسال می‌گردد.

18. Image phishing

از تصاویر حاوی فایل‌های مخرب استفاده می‌کند تا به اطلاعات مورد نظر دست یافته یا سیستم هدف را آلوده کند.

مثالی واقعی از image phishing

گروهی از هکرها از تکنیک AdGholas استفاده کرده تا کدهای مخربِ ایجاد شده توسط JavaScript را در داخل تصاویر و فایل‌های HTML پنهان کنند. با کلیک کردن بر روی این تصاویر، بدافزار مربوطه بر روی سیستم دانلود شده و اطلاعات شخصی را ثبت نمود.

19. Search engine phishing

حمله‌ی فیشینگ موتور جستجو به ایجاد محصولات جعلی‌ای می‌پردازد که جذاب و محبوب هستند. هنگامی که این Pop-upها در موتور جستجو، ظاهر می‌شوند، قبل از انجام خرید، از قربانی خواسته می‌شود که اطلاعات مهم خود را وارد کند.

مثالی واقعی از search engine phishing

در سال ۲۰۲۰ گوگل گزارش داد روزانه ۲۵ میلیارد صفحه اسپم پیدا می‌کند. غالبا این صفحات حاوی تبلیغات جعلی بوده که به نظر می‌رسد از شرکت‌های واقعی مانند Booking.com می‌باشند. با کلیک کاربران بر روی این لینک‌ها، از آن‌ها خواسته می‌شود اطلاعات مهم خود را وارد نمایند.

هفت روش برای شناسایی حملات فیشینگ

در اینجا به هفت نکته کاملا مفید و کاربردی اشاره خواهیم کرد تا بتوان ایمیل‌های مشکوک را شناسایی نمود و قبل از وقوع هر حمله‌ای آن را متوقف ساخت.

• هر ایمیلی دریافتی را یک فیشینگ در نظر بگیرید.

ممکن است کمی اغراق آمیز به نظر برسد، اما این موضوع بسیار اهمیت دارد که کاربران، کلیه‌ی ایمیل‌های خود را بررسی نموده تا در مورد صحت و اعتبار آن، اطمینان حاصل کنند. توصیه می‌شود کاربران، به ضد اسپم سازمانی خود اکتفا نکنند؛ زیرا این ابزارهای سنتی، قادر به دفاع در برابر حملات پیچیده نیستند.

برخی از سازمان‌ها به رویکرد Zero-Trust Network Access (ZTNA) روی آورده‌اند تا امنیت را تا حد ممکن ارتقا دهند.

• آدرس فرستنده را به دقت مورد بررسی قرار دهید.

یکی از بهترین و موثرترین راهکارهای پیشگیری از حملات فیشینگ، بررسی دقیق آدرس فرستنده‌ی ایمیل است.

توصیه می‌شود این روش برای تمامی ایمیل‌های دریافتی اعم از بانک، خدمات پرداخت‌ الکترونیک، فروشندگان و یا حتی سازمان‌های دولتی انجام شود، به خصوص برای ایمیلی که برای بار اول دریافت می‌گردد.

• ایمیل را بخوانید.

باید ایمیل مورد نظر باز شده و خوانده شود. کاربران باید بتوانند تشخیص دهند که آیا فاکتور خاصی نادیده گرفته شده یا خیر و باید سوالات زیر را از خود بپرسند:

• آیا این ایمیل فوری است؟
• آیا محتوای ایمیل یک پیشنهاد وسوسه‌انگیز است؟
• آیا پیش از این ارتباطی با سازمان مربوطه وجود داشته و یا در آن جا حساب کاربری وجود دارد؟

در صورت مشاهده‌ی موارد مشکوک، بهتر است از اقدامات بعدی، اجتناب شود.

• از نظر نگارش و گرامر بررسی شود.

غالبا مواردی مانند املا، گرامر و یا حتی قالب‌بندی را می‌توان به عنوان فاکتور بسیار مهم در نظر گرفت. مسلما در هیچ یک از ایمیل‌های رسمی که از سوی بانک، شرکت‌های پرداخت الکترونیک یا سازمان‌های دولتی ارسال شده، اشتباهات املایی مشاهده نمی‌شود و همیشه از مکاتبات تجاری استفاده می‌گردد.

در غیر این صورت، احتمال بالایی برای فیشینگ وجود دارد.

• به دنبال نام خود باشید.

علاوه بر موضوعاتی مانند گرامر و نگارش، المان‌هایی مانند نام گیرنده و نحوه‌ی خطاب قرار دادن را نیز بررسی نمایید.

به طور معمول، شرکت‌های قانونی و معتبر به خصوص اگر سابقه‌ی کاری نیز وجود داشته باشد، نامه‌ی خود را به صورت کلی و تنها با عنوان سِمَت، آغاز نمی‌کند؛ بلکه نام فرد مورد نظر را قید می‌کند.

• درخواست‌ها را به دقت بررسی نمایید.

ابتدا ایمیل و درخواست آن را بررسی نمایید. اکثر ایمیل‌های جعلی، درخواستی مبنی بر پاسخ به ایمیل و یا کلیک بر روی لینک ارسالی دارند.

• لینک ها و ضمیمه‌های ارسالی را بررسی نمایید.

به طور کلی در حملات فیشینگ، از قربانی خواسته می‌شود بر روی لینک کلیک کرده و یا فایل پیوست را دانلود کند. کاربران می‌توانند به منظور تشخیص اعتبار یک لینک، نشانگرِ موس را روی آن قرار دهند؛ در صورتی که لینک مربوطه از یک دامنه‌ی ناآشنا باشد، بهتر است کلیک نشود.